Configuring Open vSwitch for SSL
Open vSwtichのSSL設定
================================
If you plan to configure Open vSwitch to connect across the network to
an OpenFlow controller, then we recommend that you build Open vSwitch
with OpenSSL. SSL support ensures integrity and confidentiality of
the OpenFlow connections, increasing network security.
ネットワークを経由して、OpenFlowコントローラーとOpen vSwtichを接続する
予定がある場合、OpenSSLでOpen vSwtichを構築することを推奨します。SSLは
OpenFlowコネクションを確実に整合性と機密性をサポートし、ネットワークセ
キュリティを向上させます。
This file explains how to configure an Open vSwitch to connect to an
OpenFlow controller over SSL. Refer to INSTALL.Linux for instructions
on building Open vSwitch with SSL support.
このファイルはSSLを使ってOpenFlowコントローラに接続する、Open vSwitchの
設定方法を説明します。Open vSwtichのSSLサポートの構築方法は"INSTALL.Linux"
を参照してください。
Open vSwitch uses TLS version 1.0 or later (TLSv1), as specified by
RFC 2246, which is very similar to SSL version 3.0. TLSv1 was
released in January 1999, so all current software and hardware should
implement it.
Open vSwtichはSSLバージョン3.0にによく似たRFC2246で定義されたTLSバージョ
ン1以降(TLSv1)を使用します。TLSv1は1999年1月にリリースされました。すべて
の現在のソフトウェアとハードウェアはTLSv1が実装されています。
This document assumes basic familiarity with public-key cryptography
and public-key infrastructure.
このドキュメントとは、基本的な公開鍵暗号とPKIの知識があることを前提として
います。
SSL Concepts for OpenFlow
OpenFlowのSSL概念
-------------------------
This section is an introduction to the public-key infrastructure
architectures that Open vSwitch supports for SSL authentication.
本節ではOpen vSwtichがサポートしているSSL認証のPKIアーキテクチャを
紹介します。
To connect over SSL, every Open vSwitch must have a unique
private/public key pair and a certificate that signs that public key.
Typically, the Open vSwitch generates its own public/private key pair.
There are two common ways to obtain a certificate for a switch:
SSLを利用した接続は、それぞれのOpen vSwtichは独自の秘密鍵/公開鍵のペア
と公開鍵の証明書が必要です。一般的に、Open vSwitchは自身の秘密鍵/公開鍵
のペアを生成します。スイッチが証明書を取得する2つの方法があります。
* Self-signed certificates: The Open vSwitch signs its certificate
with its own private key. In this case, each switch must be
individually approved by the OpenFlow controller(s), since there
is no central authority.
自己署名証明書:Open vSwtichは地震の秘密鍵で証明書に署名します。
この場合、それぞれのスイッチは、中央権限が存在しないので、OpenFlow
コントローラーで個別に承認される必要があります。
This is the only switch PKI model currently supported by NOX
(http://noxrepo.org).
これはNOXで現在サポートされている唯一のスイッチPKIモデルです。
(http://noxrepo.org).
* Switch certificate authority: A certificate authority (the
"switch CA") signs each Open vSwitch's public key. The OpenFlow
controllers then check that any connecting switches'
certificates are signed by that certificate authority.
スイッチの認証機関:認証機関("スイッチCA")はそれぞれのOpen vSwtich
公開鍵を署名します。OpenFlowコントローラーは接続してくるスイッチの
証明書が認証機関によって署名されているか確認します。
This is the only switch PKI model supported by the simple
OpenFlow controller included with Open vSwitch.
これはOpen vSwitchに含まれる簡易OpenFlowコントローラーでサポートされ
ている唯一のスイッチPKIモデルです。
Each Open vSwitch must also have a copy of the CA certificate for the
certificate authority that signs OpenFlow controllers' keys (the
"controller CA" certificate). Typically, the same controller CA
certificate is installed on all of the switches within a given
administrative unit. There are two common ways for a switch to obtain
the controller CA certificate:
それぞれのOpen vSwitchも、OpenFlowコントローラーの鍵を署名した証明書機関
("コントローラーCA"証明書)のCA証明書のコピーを持っている必要があります。
一般的に同じコントローラーのCA証明書が与えられた、管理単位のすべてのスイッ
チにインストールされます。コントローラーCA証明書を取得する2つの方法があり
ます。
* Manually copy the certificate to the switch through some secure
means, e.g. using a USB flash drive, or over the network with
"scp", or even FTP or HTTP followed by manual verification.
いくつかの安全な方法でスイッチに証明書を手動コピーする。例えば、
USBフラッシュドライブを使用する、SCPを使用したネットワーク経由、
手動検証によるFTPやHTTPなど
* Open vSwitch "bootstrap" mode, in which Open vSwitch accepts and
saves the controller CA certificate that it obtains from the
OpenFlow controller on its first connection. Thereafter the
switch will only connect to controllers signed by the same CA
certificate.
Open vSwtich"bootstrap"モード。Open vSwtichはOpenFlowコントローラー
の最初の接続においてコントローラーCA証明書の取得を受け取り、保存し
ます。その後、スイッチは同じCA証明書で署名されたコントローラーのみ
接続します。
Establishing a Public Key Infrastructure
PKIを確立する
----------------------------------------
Open vSwitch can make use of your existing public key infrastructure.
If you already have a PKI, you may skip forward to the next section.
Otherwise, if you do not have a PKI, the ovs-pki script included with
Open vSwitch can help. To create an initial PKI structure, invoke it
as:
Open vSwtichは既存のPKIの使用が可能です。既存のPKIがある場合、次節にス
キップしてください。PKIがない場合、Open vSwtichに含まれるovs-pkiスクリ
プトが助けになります。最初のPKI基盤を作成するには、以下のコマンドを使用
します。
% ovs-pki init
to create and populate a new PKI directory. The default location for
the PKI directory depends on how the Open vSwitch tree was configured
(to see the configured default, look for the --dir option description
in the output of "ovs-pki --help").
新しいPKIディレクトリを作成し、移行します。PKIディレクトリのデフォルト
ロケーションはOpen vSwtichのツリーが設定された方法に依存します。
(設定されたデフォルトを確認してください。"ovs-pki --help"の出力結果から
"--dir"オプションの説明を探してください。)
The pki directory contains two important subdirectories. The
controllerca subdirectory contains controller CA files, including the
following:
PKIディレクトリは2つの重要なサブディレクトリを保持します。"controllerca"
サブディレクトリは以下を含む、コントローラーCAファイルを保持します。
- cacert.pem: Root certificate for the controller certificate
authority. Each Open vSwitch must have a copy of this file to
allow it to authenticate valid controllers.
cacert.pem:コントローラー証明書機関のルート証明書。それぞれのOpen
vSwtichは有効なコントローラーを認証するため、ルート証明書のコピーを
保持している必要があります。
- private/cakey.pem: Private signing key for the controller
certificate authority. This file must be kept secret. There is
no need for switches or controllers to have a copy of it.
private/cakey.pem:コントローラーの証明書機関の署名された秘密鍵。
このファイルは秘密にしなければならない。スイッチやコントローラーは
このファイルのコピーを保持する必要はない。
The switchca subdirectory contains switch CA files, analogous to those
in the controllerca subdirectory:
switchcaサブディレクトリはcontrollercaサブディレクトリに似たスイッチCAファ
イルを保持します。
- cacert.pem: Root certificate for the switch certificate
authority. The OpenFlow controller must have this file to
enable it to authenticate valid switches.
cacert.pem:スイッチ証明書機関のルート証明書。OpenFlowコントローラー
は有効なスイッチを認証するため、このファイルを保持している必要があり
ます。
- private/cakey.pem: Private signing key for the switch
certificate authority. This file must be kept secret. There is
no need for switches or controllers to have a copy of it.
private/cakey.pem:スイッチ証明書機関の署名された秘密鍵。このファイ
ルは秘密にしなければならない。スイッチやコントローラーはこのファイ
ルのコピーを保持する必要はない。
After you create the initial structure, you can create keys and
certificates for switches and controllers with ovs-pki. Refer to the
ovs-pki(8) manage for complete details. A few examples of its use
follow:
初期構築の作成が後、ovs-pkiのスイッチとコントローラー用の鍵と証明書を
作成することができます。完全な詳細はovs-pki(8)のmanegeを参照してくださ
い。いくつかの使用方法の例を次に示します。
CONTROLLER KEY GENERATION
コントローラーの鍵生成
To create a controller private key and certificate in files named
ctl-privkey.pem and ctl-cert.pem, run the following on the machine
that contains the PKI structure:
コントローラーのファイル名が"ctl-privkey.pem"と"ctl-cert.pem"の秘密
鍵と証明書をを作成するには、PKI機構を保持しているマシンで次のコマン
ドを実行します。
% ovs-pki req+sign ctl controller
ctl-privkey.pem and ctl-cert.pem would need to be copied to the
controller for its use at runtime. If you were to use ovs-controller,
the simple OpenFlow controller included with Open vSwitch, then the
--private-key and --certificate options, respectively, would point to
these files.
"ctl-privkey.pem"と"ctl-cert.pem"は、実行時に使用するため、コントロー
ラーにコピーする必要があります。もし、ovs-controller、(Open vSwtichに
含まれる簡易OpenFlowコントローラー)を使用する場合、"--private-key"と
"--certificate"オプションがそれぞれのファイルを示します。
It is very important to make sure that no stray copies of
ctl-privkey.pem are created, because they could be used to impersonate
the controller.
作成された"ctl-privkey.pem"のコピーは曖昧しないことがとても重要です。
なぜなら、コントローラーの偽装に使われるためです。
SWITCH KEY GENERATION WITH SELF-SIGNED CERTIFICATES
スイッチの自己署名証明書鍵の作成
If you are using self-signed certificates (see "SSL Concepts for
OpenFlow"), this is one way to create an acceptable certificate for
your controller to approve.
自己署名証明書を使う場合、(OpenFlowのSSL概念を見てください)コントロー
ラーが承認する為の許容する証明書作成する1つの方法です。
1. Run the following command on the Open vSwitch itself:
Open vSwtichで以下のコマンドを実行してください。
% ovs-pki self-sign sc
(This command does not require a copy of any of the PKI files
generated by "ovs-pki init", and you should not copy them to the
switch because some of them have contents that must remain secret
for security.)
(このコマンドは"ovs-pki init"で生成されたPKIファイルのコピーを要求
しません。それらのいくつかは、セキュリティの秘密を保つ必要があるコ
ンテンツを保持しているので、スイッチにそれらをコピーしないでくださ
い。
The "ovs-pki self-sign" command has the following output:
"ovs-pki self-sign"コマンドのアウトプットを次に示します。
* sc-privkey.pem, the switch private key file. For security,
the contents of this file must remain secret. There is
ordinarily no need to copy this file off the Open vSwitch.
sc-privkey.pem これはスイッチの秘密鍵ファイルです。セキュリ
ティのため、このファイルの内容は秘密に保つ必要があります。
通常、Open vSwtichからこのファイルをコピーする必要はありませ
ん。
* sc-cert.pem, the switch certificate, signed by the switch's
own private key. Its contents are not a secret.
sc-cert.pem これはスイッチ自身の秘密鍵で署名されたスイッチの
証明書です。内容は秘密ではありません。
2. Optionally, copy controllerca/cacert.pem from the machine that has
the OpenFlow PKI structure and verify that it is correct.
(Otherwise, you will have to use CA certificate bootstrapping when
you configure Open vSwitch in the next step.)
必要に応じて、OpenFlow PKI基盤を持っているマシンから
"controllerca/cacert.pem"をコピーしてファイルが正しい事を確認します。
(そうでなければ、次のステップで、Open vSwticの設定時にCA証明bootstrapping
を使用する必要があります。)
3. Configure Open vSwitch to use the keys and certificates (see
"Configuring SSL Support", below).
鍵と証明書を使用したOpen vSwtichの設定(以下の"Configuring SSL Support"
を参照してください。)
SWITCH KEY GENERATION WITH A SWITCH PKI (EASY METHOD)
スイッチのPKIのスイッチ鍵作成(簡単な方法)
If you are using a switch PKI (see "SSL Concepts for OpenFlow",
above), this method of switch key generation is a little easier than
the alternate method described below, but it is also a little less
secure because it requires copying a sensitive private key from file
from the machine hosting the PKI to the switch.
スイッチのPKIを使う場合、後述するスイッチの鍵作成方法より少し簡単です。
(前述のSSL Concepts for OpenFlow"を見てください。)しかし、少しセキュ
アでありません。それは、PKIがホスティングされているマシンからスイッチ
に重要な秘密鍵のコピーが要求されるためです。
1. Run the following on the machine that contains the PKI structure:
PKI基盤を保持しているマシンでのコマンドを実行します。
% ovs-pki req+sign sc switch
This command has the following output:
このコマンドは次の出力をします。
* sc-privkey.pem, the switch private key file. For
security, the contents of this file must remain secret.
"sc-privkey.pem"はスイッチの秘密鍵ファイルです。セキュリティ
のため、このファイスは秘密にしておく必要があります。
* sc-cert.pem, the switch certificate. Its contents are
not a secret.
"sc-cert.pem"はスイッチの証明書です。このファイルは秘密ではあ
りません。
2. Copy sc-privkey.pem and sc-cert.pem, plus controllerca/cacert.pem,
to the Open vSwitch.
"sc-privkey.pem"と"sc-cert.pem”及び"controllerca/cacert.pem"をOpen vSwitch
にコピーします。
3. Delete the copies of sc-privkey.pem and sc-cert.pem on the PKI
machine and any other copies that may have been made in transit.
It is very important to make sure that there are no stray copies of
sc-privkey.pem, because they could be used to impersonate the
switch.
PKIマシン上のコピーした"sc-privkey.pem"と"sc-cert.pem"及び、ファイ
ルの輸送中に作成された可能性のあるその他のコピーを削除します。
これは”"sc-privkey.pem"の不明なコピーが存在しないことを確認するた
めにとても重要です。なぜなら、スイッチになりすますことができるから
です。
(Don't delete controllerca/cacert.pem! It is not
security-sensitive and you will need it to configure additional
switches.)
("controllerca/cacert.pem"は削除しないでください!これはセキュリティ
に敏感ではなく、スイッチを追加する設定に必要です。)
4. Configure Open vSwitch to use the keys and certificates (see
"Configuring SSL Support", below).
鍵と証明書を使用したOpen vSwitchの設定(以下の"Configuring SSL Support"
を見てください)
SWITCH KEY GENERATION WITH A SWITCH PKI (MORE SECURE)
スイッチPKIを利用したスイッチ鍵の生成(もっとセキュア)
If you are using a switch PKI (see "SSL Concepts for OpenFlow",
above), then, compared to the previous method, the method described
here takes a little more work, but it does not involve copying the
private key from one machine to another, so it may also be a little
more secure.
スイッチのPKIを使用する場合、以前の方法と比較し、ここで説明する方法は
もう少し作業が必要です。しかし、秘密鍵をあるマシンから他のマシンにコピー
する必要はありません。(前述の"SSL Concepts for OpenFlow"を見てください。)
ですから、少しセキュアです。
1. Run the following command on the Open vSwitch itself:
以下のコマンドをOpen vSwitch上で実行します。
% ovs-pki req sc switch
(This command does not require a copy of any of the PKI files
generated by "ovs-pki init", and you should not copy them to the
switch because some of them have contents that must remain secret
for security.)
(このコマンドは"ovs-pki init"で生成されたどのPKIファイルのコピーも
要求しません。また、それらのスイッチへのコピーはいりません。なぜな
ら、それらのいくつかは、機密を保持しなければならないコンテンツを保
持しています。)
The "ovs-pki req" command has the following output:
"ovs-pki req"コマンドは次の出力をします。
* sc-privkey.pem, the switch private key file. For security,
the contents of this file must remain secret. There is
ordinarily no need to copy this file off the Open vSwitch.
"sc-privkey.pem"はスイッチの秘密鍵ファイルです。セキュリティ
のため、このファイスは秘密にしておく必要があります。通常、
Open vSwitchからこのファイルをコピーする必要はありません。
* sc-req.pem, the switch "certificate request", which is
essentially the switch's public key. Its contents are not a
secret.
"sc-req.pem"はスイッチの"証明書要求"です。これは本質的にはス
イッチの公開鍵です。これは秘密ではありません。
* A fingerprint, on stdout.
フィンガープリントが標準出力されます。
2. Write the fingerprint down on a slip of paper and copy sc-req.pem
to the machine that contains the PKI structure.
フィンガープリントを紙に書き起こし、"sc-req.pem"をPKI基盤を保持する
マシンにコピーしてください。
3. On the machine that contains the PKI structure, run:
PKI基盤を保持するマシン上で実行します。
% ovs-pki sign sc switch
This command will output a fingerprint to stdout and request that
you verify it. Check that it is the same as the fingerprint that
you wrote down on the slip of paper before you answer "yes".
このコマンドは標準出力でフィンガープリントが出力され、確認が要求さ
れます。"yes"と答える前に、上に書きをこされたフィンガープリントと同
じ事を確認してください。
"ovs-pki sign" creates a file named sc-cert.pem, which is the
switch certificate. Its contents are not a secret.
"ovs-pki sign"は"sc-cert.pem"ファイルを作成します。これはスイッチの
証明書です。これは秘密ではありません。
4. Copy the generated sc-cert.pem, plus controllerca/cacert.pem from
the PKI structure, to the Open vSwitch, and verify that they were
copied correctly.
生成された"sc-cert.pem"とPKI基盤から"controllerca/cacert.pem"を
Open vSwitchにコピーしてください。そして、正常にコピーされたか確認
してください。
You may delete sc-cert.pem from the machine that hosts the PKI
structure now, although it is not important that you do so. (Don't
delete controllerca/cacert.pem! It is not security-sensitive and
you will need it to configure additional switches.)
PKI基盤を有するマシンから"sc-cert.pem"を削除できます。ただし、この
作業は重要ではありません。("controllerca/cacert.pem"は削除しないで
ください!これはセキュリティに敏感ではなく、スイッチを追加する設定
に必要です。)
5. Configure Open vSwitch to use the keys and certificates (see
"Configuring SSL Support", below).
鍵と証明書を使用したOpen vSwitchの設定(以下の"Configuring SSL Support"
を見てください)
Configuring SSL Support
SSLをサポートする設定
-----------------------
SSL configuration requires three additional configuration files. The
first two of these are unique to each Open vSwitch. If you used the
instructions above to build your PKI, then these files will be named
sc-privkey.pem and sc-cert.pem, respectively:
SSLの設定は追加設定ファイルが要求されます。最初の2つはOpen vSwtich固有
です。PKIを構築するために上記の手順を使用した場合、これらのファイルは
それぞれ"sc-privkey.pem"と"sc-cert.pem"と命名されます。
- A private key file, which contains the private half of an RSA or
DSA key.
秘密鍵ファイルはプライベートのRSAかDSA鍵の半分が含まれています。
This file can be generated on the Open vSwitch itself, for the
greatest security, or it can be generated elsewhere and copied
to the Open vSwitch.
このファイルは強靭なセキュリティのため、Open vSwitchによって生成
されます。また、このファイルは別の場所に生成し、Open vSwitchにコ
ピーすることができます。
The contents of the private key file are secret and must not be
exposed.
秘密鍵を保持するファイルは秘密で露出させてはいけません。
- A certificate file, which certifies that the private key is that
of a trustworthy Open vSwitch.
証明書ファイルは信頼できるOpen vSwtichの秘密鍵の証明です。
This file has to be generated on a machine that has the private
key for the switch certification authority, which should not be
an Open vSwitch; ideally, it should be a machine that is not
networked at all.
このファイルはスイッチの証明書期間のために、秘密鍵を持ったマシン
で生成される必要があり、Open vSwtichですべきでありません。理想で
はネットワークに接続されていないマシンで行うべきです。
The certificate file itself is not a secret.
証明書ファイルそれ自体は秘密ではありません。
The third configuration file is typically the same across all the
switches in a given administrative unit. If you used the
instructions above to build your PKI, then this file will be named
cacert.pem:
三番目の設定ファイルは、通常与えられた管理単位のすべてのスイッチで同じ
です。PKIを構築するために上記の手順を使用した場合、このファイルは"cacert.pem"
と命名されます。
- The root certificate for the controller certificate authority.
The Open vSwitch verifies it that is authorized to connect to an
OpenFlow controller by verifying a signature against this CA
certificate.
コントローラーの証明書認証国のルート証明書。Open vSwitchは、この
CAに対して署名が検証することにより、OpenFlowコントローラーの接続
が許可されのか検証します。
Once you have these files, configure ovs-vswitchd to use them using
the ovs-vsctl "set-ssl" command, e.g.:
一度このファイルを設定したら、ovs-vsctl "set-ssl"コマンドをを使って3つ
のファイルを利用して"ovs-vswitchd"を設定します。
ovs-vsctl set-ssl /etc/openvswitch/sc-privkey.pem /etc/openvswitch/sc-cert.pem /etc/openvswitch/cacert.pem
Substitute the correct file names, of course, if they differ from the
ones used above. You should use absolute file names (ones that begin
with "/"), because ovs-vswitchd's current directory is unrelated to
the one from which you run ovs-vsctl.
もし上記示したファイル名が異なる場合、正確なファイル名に置き換えてくだ
さい。ファイル名は絶対パスを使用する必要があります。(ファイル名は"/"
で始まります。)"ovs-vswitchd"の現在のディレクトリは"ovs-vsctl"が動作
しているディレクトリと無関係だからです。
If you are using self-signed certificates (see "SSL Concepts for
OpenFlow") and you did not copy controllerca/cacert.pem from the PKI
machine to the Open vSwitch, then add the --bootstrap option, e.g.:
自己署名証明書を使用する場合と、PKIマシンから"controllerca/cacert.pem"
をOpen vSwtichにコピーしない場合、"--bootstrap"オプションを付けてくだ
さい。
ovs-vsctl -- --bootstrap set-ssl /etc/openvswitch/sc-privkey.pem /etc/openvswitch/sc-cert.pem /etc/openvswitch/cacert.pem
After you have added all of these configuration keys, you may specify
"ssl:" connection methods elsewhere in the configuration database.
"tcp:" connection methods are still allowed even after SSL has been
configured, so for security you should use only "ssl:" connections.
これらすべての設定鍵を追加したあと、他の設定データベースの接続方法に"ssl"
を指定できます。"tcp"接続方法はSSLが設定されたあとも許可されます。セキュ
リティのため、"ssl"接続のみ使用すべきです。
Unlike most Open vSwitch settings, the SSL settings are read only
once, at ovs-vswitchd startup time. For changes to take effect,
ovs-vswitchd must be killed and restarted.
ほとんどのOpen vSwtichの設定とことなり、SSLの設定は"ovs-vswitchd"起動
時の一度だけ読み込まれます。設定を反映させるには、"ovs-vswitchd"を終了
させ、再起動する必要があります。
Reporting Bugs
バグレポート
--------------
Please report problems to bugs@openvswitch.org.
問題はbugs@openvswitch.orgに送ってください。
最終更新:2012年03月09日 16:10
